广东诚泰交通科技发展有限公司 511431
摘要:网络安全是高速公路联网收费系统非常重要而又经常被忽视的问题。针对高速公路路网日益完善和扩大,实际运营对高速公路联网收费系统网络安全提出要求,根据省高速公路管理局工作现状与进展,在提出网络安全保障系统升级改造需求的基础上,对其安全改造措施予以深入分析,内容包括安全设备升级改造、数据库安全保障、数据传输安全保障及其使用的安全,通过实践得出省高速公路管理局所用安全保障改造措施合理可行、切实有效,为其他地区提高系统整体安全水平和安全改造工作提供参考借鉴。
关键词:高速公路;联网收费系统;网络安全
0引言
在高速公路各大系统中,收费系统属于重要系统,由于其运行的安全性,稳定性将直接影响到高速公路的收益情况。如今,高速公路路网日益完善,作为高速公路重要组成部分的联网收费系统承担越来越大的压力,无论是实际运营还是后续发展,都对其网络安全提出了更高的要求,需要根据系统实际情况,采用先进的安全保障设备提高网络的安全性。
1高速公路联网收费系统网络安全保障需求
省高速公路管理局收费网,现已建成连接全省高速公路收费站的收费专网及公网备份链路,随着该省高速公路信息系统的不断发展壮大,对信息化网络安全的要求越来越高,省高速公路收费系统网络信息安全保障系统,已成为省高速公路收费网络重要组成部分,保证了收费网络系统的安全运行。收费系统网络信息安全保障系统建设由省高管局在近几年分期对联网收费网络进行了改造实施,主要包括有以下内容:
(1)在全省收费网络部署了内网审计软件系统;(2)在全省收费网络部署了收费网络防病毒软件系统;(3)在省中心核心机房部署了防病毒网关系统、数据库审计系统、网络行为审计系统、机架式漏洞扫描设备及防火墙系统;(4)在各片区管理中心向省中心的传输公网和专网部署了防火墙系统;(5)在各片区中心部署了入侵检测系统。以上项目方案是在国家等级保护文件、标准的总体框架体系指导下,充分考虑该省高速公路收费信息系统面临的威胁,结合网络安全现状,建立起了全省高速公路收费系统网络信息安全的完整体系,且具有充分扩展能力的安全体系,能够满足后期向更高安全级别升级、系统扩容、系统外联扩展的需要。但随着产品升级改造、设备更新换代,部分设备已老化达到使用寿命期限及无法升级,运行不稳定,如果不很好地解决这个问题,必将阻碍信息化发展的进程,给收费网络造成极大的安全隐患,无法满足收费网络安全防护的要求。因此,为了保障该省高速公路收费网络的安全高效可靠运行,对该省高速公路收费网络安全保障系统进行升级改造迫在眉睫。
2高速公路联网收费系统网络安全方案
2.1方案拓扑高速收费网络安全设备升级后拓扑如图1所示。
图1升级后高速收费网络安全设备拓扑图
2.2安全方案
2.2.1省中心防病毒网关系统升级改造
省中心收费网已经具备了防火墙、防病毒网关、漏洞扫描等安全防护手段,实现了收费网络的安全防护;现通过升级防病毒网关系统以实现对收费网的网络安全防护,防止黑客入侵、防止病毒攻击、防止黑客控制终端进而攻击收费网络。通过升级后的新一代万兆级防病毒网设备与原有网络安全设备配合,实现省中心收费网络安全以及全省收费网络的信息安全保护。主要具有以下功能:细粒度的高性能网络访问控制、性能和功能完美匹配的病毒防御、Web安全防护、数据安全防护、完善的应用控制、精细的流量监控、简单易用的管理模式。
2.2.2片区中心安全设备升级改造
各片区中心现已部署了千兆级防火墙、IDS,实现了网络层的安全防护,由于设备需升级更新换代,现通过在片区中心专网及公网串接部署一体化安全网关,将原有的防火墙及入侵检测功能合二为一,以解决产品升级及设备老化和因多个产品维护管理而苦恼的问题,一体化安全网关是低成本、高效率、易管理的理想解决方案,可实现集防火墙、VPN、入侵防御(IPS)、防病毒、抗拒绝服务攻击(Anti—DoS)、内容过滤等多种安全技术于一身的安全设备。主要具有以下功能:细粒度的高性能网络访问控制、性能和功能完美匹配的病毒防御、精准高效的入侵防御、Web安全防护、数据安全防护、完善的应用控制、简单易用的管理模式。
2.3数据库安全
2.3.1收费车道与收费站数据库
修改车道收费设备的操作系统,将不常用功能完全取消,使设备开机后可进入收费软件当中。为避免病毒传播,应减少对光驱与软驱等的使用。在此基础上,还应采取以下方法提高数据安全性:其一,借助防火墙设备严格控制系统访问,杜绝非法访问,提高数据整体安全性;其二,对于车道数据库,应使用新型SQL数据库,借助该数据库具有的安全控制来提高数据整体安全性。
2.3.2收费中心与分中心数据库
对于收费中心与分中心数据库,其主要功能为收集并汇总收费站所有收费数据。
2.3.3结算中心数据库
对于结算中心数据库,是各下级收费数据汇总,数量庞大,且权限较大,其访问控制必须得以严格限制,限制权限,对用户数量予以严格控制。考虑到该数据库十分重要,故应在安全设置前提下,采用防火墙来加强访问控制。通过审计工具的合理应用,实现对数据库的全面审计,具体的审计内容有:用户、时间、地点、操作,使数据库实际使用处在实时监控之下。
2.4数据传输安全
因数据传输为多级形式,所以在传输过程中会产生丢失或被私自篡改,为了使数据在传输时保持可靠,建议采用数据校核技术与加密技术,保证数据传输全程安全。对数据进行传输与存储时,需对数据,尤其是重要数据实施加密,在加密后,即便数据丢失,偷盗者也无法使用这些数据。此外,对于那些较为重要的网络数据,应在表结构当中采用校验字段,该字段既可以是具体的时间、人员与日期,也可以是业主代码,进而在微观上找出违规操作。利用加密传输设备,可以为各级别信息提供安全保障,保证其真实性、机密性与完整性。此外,加密传输设备还能进行一对一或一对多的运行,保证数据完整性,在使用时的操作十分简单,受网络类型影响与限制较小,对数据进行传输时,还可以进行认证,确认双方真实身份,进而保证数据传输的精确性与安全性。
2.5安全设计
2.5.1结算中心
如前所述,结算中心为各收费中心所有数据汇总,含大量数据,至关重要。基于此,应对机房中的进出人员、行为、数据保护等实施严格控制,采用的产品包括:防病毒、加密、审计、门控和数据备份。其中,安全门控是指对机房中的人员进行控制,利用指纹识别技术,杜绝无关人员随意进出,造成数据丢失风险。对于指纹识别技术,其不仅具有较高的识别率,而且可靠性良好,容易实现,是一套首选系统。防火墙是指充分利用防火墙具有的保护与访问控制功能,为数据库及服务器提供良好的安全保护,从而避免异常事件等产生。数据备份是指因结算中心具有庞大的数据量,如果数据丢失或受损,则将难以恢复,甚至造成无法挽回的损失,因此为保证数据安全,应通过对双机热备份等合理应用数据备份。
2.5.2路段中心
路段中心即收费中心和分中心,在收费系统当中主要起到收集汇总与统计等重要作用,相比之下安全产品较为简单,主要包括防病毒与审计。
2.5.3收费站
在收费站中往往存有很多原始数据,对原始数据而言,其是否正确直接影响到上一层数据的准确性,因此数据保护必须从该级入手。它需要采用以下几种产品:防病毒、审计、加密、防火墙与数据备份。此外,在数据备份方面应使用RAID磁盘阵列,具有使用十分简单,在发生意外后能快速恢复数据,且费用相对较少的优势特点。
3结语
综上所述,从实践效果上可以看出,上述安全方案及措施均合理可行、切实有效,在系统中采用安全设备,除了能充分发挥其应有功能,还不会对系统运行造成影响,特别是服务器对车道机的响应速度并未降低,这对高速公路的收费业务而言是十分重要的。
参考文献:
[1]张琼.高速公路联网收费系统信息安全探讨[J].江西建材,2017(6):194-195.
[2]肖军.高速公路联网收费系统终端信息安全管理探讨[J].信息安全与技术,2016(2):83-87.
[3]毛学横.高速公路联网收费系统网络安全防护[J].中国交通信息化,2016(1):107-108.
论文作者:徐振林
论文发表刊物:《建筑细部》2018年第19期
论文发表时间:2019/4/15
标签:高速公路论文; 网络论文; 数据论文; 收费系统论文; 系统论文; 数据库论文; 防火墙论文; 《建筑细部》2018年第19期论文;